放眼全球各产业界，分工越来越细化，各企业在专注于核心竞争力的同时，也将工作重点聚焦于全球供应链之上。在质量、成本、速度、效率等业绩指标的压力下，安全方面的投入只能被一再挤压，天平开始失衡。

继2013年Target严重信息泄露事故之后，近年来，一连串的公司信息失窃案件特别是超市、百货、连锁、电商等行业的信息泄露事故多得让人揪心。这些安全事故中有不少是“冤大头”，就如同Home Depot和Goodwill这类的被黑客通过第三方厂商做跳板而光顾的。

一家企业，不管规模有多大，业务有多综合，也难避免会使用到第三方厂商的产品。然而，第三方厂商特别是小众化产品的安全使用问题长期以来都被忽视，五花八门的第三方厂商很可能并没有健全的产品安全漏洞修复机制，毕竟他们并不像Windows那些普及和常见。即使是自行开发的应用系统，也可能会在基本功能得到满足之后，缺乏长期的维护改进，特别是对所依赖的第三方中间件、控件或插件等等部件的安全审核。

环顾全球，世界越来越平坦，在全球性的供应链运行体中，与第三方的业务信息交换只会越来越多，与第三方的网络连接也只会越来越复杂，想想入侵Target的犯罪分子，要绕道空调供应商，问路电子账单系统，借壳Web程序漏洞，拐进PoS终端，方才剑指SQL主机。不要以为这是小概率甚至不可能的事情，在巨大的利益诱惑下，常人眼中的不可能正是技术高超且步步为营的黑客们所乐见的。

放眼国内，业务流程和科技创新对安全的驱动和需求更应该早日引起我们的重视，在结构调整、职能转变、营改增、简化流程、放宽准入等国家经济宏观政策刺激之下，市场将重焕活力，社会分工与协同合作将更为细化，战略创新型、绿色节能环保型的产品和服务将大批涌现，在这一波浪潮中，创新型的安全产品和服务也将被催生出来，同时，传统的安全解决方案也面临着全新的重大挑战。

安全业务的分工细化将带来服务外包的蓬勃发展，基于互联网云计算的服务外包模式在西方发达国家已经被证明成功了，不过在国家安全的顾虑和意识形态的壁障面前，美国的互联网公司只能被国内的借鉴者们和改良者击退。分工细化也将促进更多供应链管理方面的安全问题，入侵跳板、后门程序等顾虑无疑会让企业增加对第三方产品及服务的安全审核工作和监管需求。大规模的协同合作及移动化让信息的创建、交易的达成、数据的访问不再局限于传统上的工作区域和工作用终端设备，IT解决方案的消费化，让云端系统应用、终端设备安全、人员安全意识的管理需求日益严峻。

传统上，来自内部的安全威胁特别是内贼往往是信息失窃的最大因素之一，说到供应链的安全威胁，我们还是逃不开人员管理问题。不要以为供应链上的所有厂商的工作人员都是职场上的道德模范，相反，他们最为熟悉供应链信息流程，甚至这其中的弱点，他们具有对其它厂商信息系统的一定访问权限，如果这些人员起了歹心，不用非常高明的黑客技术，他们也能轻易窃取大量重要信息并来进行私下贩卖获利。如果他们再勾结外部技艺高超的黑客组织，那对供应链的破坏力将是前所未有的。

除了那些在职的内部人员和供应链人员，那些离职后仍然在这个行业中混的，特别是跳槽到竞争者行列中的人员，威胁程度可能更高。服务提供商、外部顾问、合同工等等通过可信的第三方渠道获得网络和数据存储，继而酿成安全事故的案例近年来越来越多。

不少企业并没有足够的针对内部人员和供应链人员威胁的应对措施，或者有必要的离职手续如保密协议和反竞业协议，但却并没有得到足够的足够的重视和执行。

如何进行供应链安全管理呢？昆明亭长朗然科技有限公司业务信息安全顾问董志军表示：

一、永远不要大意！既然大家处于同一条供应链上，依据木桶理论，供应链的安全管理水平最弱之处，将成为企业安全管理的短板。同在一条船上，就不能简单地通过一份合约把信息安全事故责任推给供应方，而应该从保障整个产业链安全健康共同发展的角度来实施供应链安全管理。知名的跨国公司无一例外都会对供应链进行定期的信息安全审核，就如同对待环境保护、安全生产和劳工福利等热点问题一样，看看苹果公司和富士康公司相关的产品制造新闻就知道供应链的安全是多么的重要。

二、不要简单以为供应链安全管理就是上下游厂商之间的利益博弈，做好供应链安全管理其实也是多方共赢的一件好事儿。首先，管理好供应链安全的前提当然是建立自身的信息安全管理体系，如果自家的信息安全管理水平尚处于混沌状态，想加入一个利润丰富的产业链都难，所以产业链中处于强势地位的大客户往往是供应链厂商提升信息安全管理能力的外部驱动力。其次，即使供应链厂商已经建立起了基本的信息安全管理体系，仍然可能有很大的改进空间，通过相互的交叉审核，不仅可以沟通交流经验，取长补短，更能让整体产业链的安全管理最佳实践得以提升，同时强化厂商之间的业务粘性。最后，拥有领先的信息安全管理水平的厂商，无疑会成为供应链甚至全行业内的信息安全标竿，在促进品牌商业信誉度的同时，依靠这些无形资产占领价值链中的中高端。

三、在技术控管方面，加强供应链接入层面的访问控制及威胁侦测，除了部署常规的防火墙和入侵检测系统之外，在应用系统和数据存取层面也强化监控和审核力度。参照、建立和强化对第三方安全产品的评估和审核力度，防范出现不可控的安全事故——安全厂商及其所在主权国家监管机关通过后门技术或系统回传等功能窃取商业机密及用户个人信息。

四、在流程控管方面，除了强化供应链安全方面的风险评估之外，应该强化帐户和权限的管理，建立和改善企业与供应链之间的帐户与权限管理机制，进行供应链用户进行定期的业务需求及访问权限相关的回顾，启用双重身份验证机制，防止出现身份效用、帐户密码权限分享、离职人员帐户未及时删除等安全隐患。

五、在人员管理方面，不能仅仅例行公事般，让员工和供应链人员草草签署保密协定。问一问，人们真正的理解保密协定中的内容和精神吗？我们要沟通教育，要让人们理解这些保密协定的核心内容，并且真正认可和接受它们。如果在特定的社会环境和发展年代之下，职场人士的职业道德水平普遍较低下，那么在沟通教育方面，必要的反面的教育典型一定不可少，只有在足够的警示效应和惩戒威慑下，人们才会真正的尊重规则和遵守契约。

当前，我国经济面临产业升级和结构调整的大好机遇，深化国有企业和国资改革必将兼并重组一大批公司。在传统产业向产业链、价值链的高端延伸时，供应链安全威胁必将愈演愈烈。而在人均国民收入不断上升，劳动力红利逐渐消失，劳动密集性产业向东盟国家大规模转移的大趋势下，全球及区域供应链安全威胁的管理能力，必将成为企业管理的一项核心工作。请让我们做好准备！

昆明亭长朗然科技有限公司，专注于帮助各类型的机构强化人员的信息安全管理，除了针对内部员工的安全意识培训视频教程之外，我们也提供针对管理层的简要业务安全课程。这些课程重在讲信息安全相关的道理，也是实现企业安全文化建设的重要智力源泉。欢迎各位业务安全管理界的专业人员与我们联系，洽谈业务信息安全相关的培训合作。

最近一些年，战争及瘟疫对世界的影响实在是大，一方面，很多粮食和蔬菜没人收割，能源没人开采和运输。另一方面，食品和能源价格飙升，人们的生产生活变得艰难起来，甚至有些国家的元首都以身作则，号召国民多穿衣、省电力。此外，中国企业更是面临如芯片禁运等贸易制裁、运费大涨等商业灾难、招不到人等人为灾难、地震台风等自然灾害的影响。对此，昆明亭长朗然科技有限公司安全顾问董志军表示：灾难事件再次向企业界展示了业务持续性计划和灾难恢复计划的重要性，而突发的贸易战争，使供应链的安全风险成为跨国企业不得不面临的紧迫问题。

缺乏高端芯片、遭遇禁运制裁这种事情，固然可以通过自主研发来彻底解决，但是要何年何月才能自主生产和满足需求？大跃进式的造芯运动，真的就能扶持出市场化的竞争者吗？看着一个个芯片企业倒下，一只只腐败大老虎浮出水面，一片片现代化工厂沦为烂尾楼，真让人痛心！扪心自问，我们似乎走错了路，整个产业链，什么都要自己干，结果呢，别人怕被我们断了活路，干脆不和我们玩儿了，甚至还要联合起来孤立我们。不要忘了当年谁把我们从破产的边缘带出去，接纳并让我们融入到现代文明世界中的了；同时，也不要忘了大家都要活，勤劳的国内人民要活，那些懒散的国外人民也要活。世界一旦失去平衡，贫富差距过大，必然带来利益纷争。有些国家那些懒散的人们，光好吃懒做不说，抢食他人的劳动果实时，掠夺他国的海外资产时，毫无人性底线，只能用凶狠残暴、恶贯满盈来形容。

内循环也不乐观，国进民退之势愈演愈烈，国资和公有制度表面上看起来公平，实则是同贫和滥权，因为激发不了劳动者的积极性和创造力，没有产出和创新。即使占有垄断地位，也是靠剥削廉价劳动者和外包企业才能苦苦维持。一旦政策失误，走向极端，造成企业家躺平，劳动者摆烂，失去希望和斗志，那必定又要慢慢回到处处拮据的年代。因此，我们能讲供应链风险，是在改革开放的前提下，计划经济体制下，一切都是政府包办，要什么供应链？在闭关锁国的情况下，和外部世界没有多少交换，要什么供应链？

当下，在很多行业，我们拥有“全产业链”能力，可以确保自身安全，同时遏制不少西方列强，至少在受到制裁时，可以实施“对等”反制措施。但是这个做法要小心使用，因为“全产业链”中的大部分链条是可以被轻松转移和替代的，是人家当年觉得利润低，自己搞起来不划算，拉着我们一起搞的。现在我们壮实了，但是要擦亮眼睛，保持头脑清醒，不要轻易为一点小事儿就去卡人家的脖子，让人家认为我们忘恩负义的国家，进而采取短时的断臂或割席措施，比如实施制造业回归行动，那样无疑在长远来讲对我们也不利。能参与全球分工，共享人类文明，是我国的幸事，战狼出征，四处树敌，则于国不利。因此，讲供应链的安全，离不开国际政治，离不开人类文明，离不开西方科技，离不开企业家精神。否则，仅靠儒家治世那一套，没有西方文明的供应，今天的我们连电都用不上，想想在唐宋元明清，哪个朝代不是大灾一来，老百姓流离失所，连饭都吃不上，更别谈什么高铁和人工智能了。

不过，即使在国进民退的大背景下，改革开放的大政策不会立即停止或转向，因此话说回来，对于企业来讲，外部供应链风险的变化还是在一定范围内的，所以也就有一些减轻供应链风险的常用方法。首先，囤积一些货，通过确保手头有足够的供应来应对轻微的供应链中断。其次，加强供应商的业务连续性计划审核。确保供应商认真对待供应链的安全性，以便他们制定切实可行的计划来应对任何灾难。最后，分担风险，即使某些供应链成本很低，也需采取多方供应，以便在发生中断时可以轻松切换供应商。在跨国供应方面，特别要注意避免过于集中于某一国家或地区，一些地方有过高的政治不可靠因素，换个总统就可能会导致政策大转向，过度的依赖会给自己添加较高的风险。因此，即使世界似乎正在​​回归自由贸易，减少贸易壁垒，但是政治风险不能遗忘。

最近几年，中美竞争激烈，美国政客们动不动就搞贸易壁垒，对我国出口的产品增加报复性关税，以获得政治利益。这种政治风险很令人头痛，比如国际汽车行业通常会雇用大量工人，这些工人就是选票，政客们要制造工厂在本国，那么供应链也需因政治原因而进入该国，成为“本地”供应商。不过，由于关税和竞争减少，供应商价格将上涨，就造成销售价格上涨。供应受关税保护免受外国竞争的商品的本地公司将在短期内获得更多利润。当然，消费者又会不满意价格过高的产品，这种对立又会被另一批政客加以利用。

关税保护造成另一种政治风险，那就是政治人物造成的导致成本增加或供应有限的风险。因此，必须评估我们与供应商之间的政治距离。政客们是否能够在我们和供应商之间设置贸易壁垒？供应商业务受到贸易纠纷不利影响的政治风险可控性如何？如果他们失去了一个关键的大客户，他们还能撑下去吗？还会继续为我们供货吗？

为了最大限度地减少中断的可能性，采用当地供应商更为可取。将新产品定位在离它所服务的市场更近的地方变得越来越有意义，这是价格和风险之间的平衡。

在可预期的二十年内，保护主义仍将持续，贸易战争将继续下去，供应链风险不可忽视。经济理论表明，随着竞争和选择的减少，买家的处境通常会变得更糟，而一些不受竞争影响的幸运供应商会过得很好。在疫情隔离期，这个经济理论得到了一定的证实。但是供应链是一个复杂的系统，它总是在不断重组以尝试优化自身。即使您认为自己是赢家，也可能只是暂时的，随着制造业和服务业的迁移和重组，您不得不关注供应链风险，并及时保持积极的变化。

昆明亭长朗然科技有限公司推出了大量的网络安全、信息保密及合规意识宣传教育内容，包括业务持续性计划相关的动画视频、平面图片和电子课件等各种形式的内容资源，其中也包含网络安全小游戏，以及互动式、场景式、案例式的教程模块，以及稳定可靠的在线培训平台（学习管理系统），欢迎有兴趣的客户及行业合作伙伴联系我们，预览作品、体验平台的功能以及洽谈采购合作。

• 电话：0871-67122372
• 手机、微信：18206751343
• 邮件：info＠securemymind.com